Что делать?
Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).
Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).
Оценка воздействия на защиту данных
В соответствии с GDPR контролеры данных должны подготовить Оценку воздействия на защиту данных (DPIA) для операций обработки, которые «могут привести к высокому риску для прав и свобод физических лиц». Продукты и службы Майкрософт не имеют характеристик, требующих DPIA. Это зависит скорее от деталей вашей конфигурации Майкрософт. Список деталей, которые необходимо учитывать в Office, можно найти в разделе
Часто задаваемые вопросы по DPIA
Когда нужно провести DPIA?
Управляющие должны проводить DPIA при рассмотрении рисков для безопасности персональных данных, или в результате нарушения безопасности данных. Конкретные примеры факторов риска в Office рассмотрены в разделе .
Что требуется для выполнения DPIA?
Регламент GDPR требует, чтобы оценка DPIA включала следующее:
Оценка необходимости и пропорциональности операций обработки данных по отношению к целям DPIA.
Оценка рисков для прав и свобод субъектов данных.
Специальные меры для устранения рисков, гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения GDPR.
Каковы мои обязанности в качестве контролера?
Согласно GDPR управляющему требуется выполнить DPIA до обработки данных, в результате которой может появиться высокий риск нарушения прав и свобод физических лиц (в частности, до обработки с помощью новых технологий). В GDPR приведен следующий неполный список случаев, в которых необходимо проводить DPIA:
- Автоматическая обработка для целей профилирования и аналогичных действий, которая имеет юридические последствия или аналогичным образом существенно влияет на субъекты данных;
- Обработка в широком масштабе специальных категорий персональных данных, например данных, раскрывающих расовое или этническое происхождение, политические убеждения и т. п., или данных, касающихся уголовных приговоров и преступлений;
- Масштабное систематическое отслеживание общедоступной области.
GDPR также требует, чтобы вы проконсультировались с вашим органом по защите данных (DPA) перед началом какой-либо обработки, если вы не можете определить достаточные процессы, чтобы минимизировать высокие риски для субъектов данных.
Каковы обязательства Microsoft?
Microsoft обеспечивает конфиденциальность путем разработки и обеспечения конфиденциальности по умолчанию в своих технических и бизнес-функциях. В рамках этих усилий Microsoft проводит всесторонние проверки конфиденциальности операций обработки данных, которые могут оказать влияние на права и свободы субъектов данных. Рабочие группы, которые несут ответственность за обеспечение конфиденциальности и входят в группы, занимающиеся службами, проверяют разработку и реализацию служб, чтобы обеспечить надлежащий способ обработки персональных данных, который соответствует международным законам, ожиданиям пользователей и нашим обязательствам.
Эти обзоры конфиденциальности, как правило, носят гранулярный характер — конкретная служба может получить десятки или сотни отзывов. Microsoft объединяет эти детальные проверки конфиденциальности в Оценки воздействия на защиту данных (DPIA), которые охватывают основные группы обработки, которые затем проверяет сотрудник по защите данных Microsoft (DPO). DPO оценивает риски, связанные с обработкой данных, чтобы обеспечить принятие надлежащих мер по их предотвращению или снижению. Если DPO обнаруживает неосуществленные риски, изменения рекомендуются обратно в инженерную группу. DPIA будут пересматриваться и обновляться по мере изменения рисков защиты данных.
Microsoft, как процессор, обязана помогать контролерам в обеспечении соответствия требованиям DPIA, изложенным в GDPR. Чтобы помочь клиентам, корпорация Майкрософт предоставит абстрагированные части своих процессов DPIA в этом разделе в будущих обновлениях, чтобы позволить управляющим, опираясь на службы Майкрософт, использовать эти части для создания собственных процессов DPIA.
GDPR для веб-дизайна
Существует множество небольших способов, с помощью которых мы можем улучшить соответствие GDPR, без радикального изменения сайта. Во многих случаях это просто изменение мышления по веб-дизайну.
- Ввести уведомления в момент получения данных. Это привычка сообщать пользователям о данных, которые вы собираете, в момент сбора. Например, под полем подписки на рассылку новостей объясните, что вы запрашиваете адрес электронной почты для отправки маркетинговых (рекламных) материалов, и вы также записываете IP-адрес пользователя, чтобы он мог подтвердить свое согласие. Это гарантирует, что в соответствии с принципом 6 PBD пользователи знают, какие данные вы берете, с какой целью, и у них не должно возникать охоты читать полный текст политики конфиденциальности (но всегда указывайте ссылку на полное публичное заявление о конфиденциальности, чтобы пользователь мог получить дополнительную информацию).
- Чтобы соблюдать принцип 2 PBD, при получении согласия флажки чекбокса не должны быть предварительно выбраны.
- Уменьшите количество данных, которые вы записываете. Например, данные местоположения часто записываются с большей точностью, чем требуется. Если вам нужно знать область, в которой кто-то находится, из этого не следует, что вам нужно знать город или район города.
- Когда вы записываете данные пользователя, убедитесь, что вы записываете способ предоставления согласия, его дату и время. Включите опцию для отметки согласия в качестве отмененного, если вам нужно удалить данные в будущем.
- Псевдонимизируйте данные там, где это возможно, путем замены идентификационных данных, таких как имя или адрес электронной почты, анонимными идентификаторами.
- Разделяйте данные там, где это возможно, чтобы личные данные, такие как настройки приложения, не сохранялись вместе с данными безопасности, такими как имена пользователей и пароли.
- Ранее стандартная практика полагалась на адрес электронной почты в качестве имени пользователя. Подумайте о том, имеет ли это смысл в вашем случае. Эта практика может подвергать личные данные потенциальному раскрытию или неправильному использованию.
- Убедитесь, что ни одна часть вашего пользовательского интерфейса не отображает личные данные. Если ваш пользовательский интерфейс указывает, что кто-то вошел в систему, используйте наименее конфиденциальные данные. Например, аватар пользователя менее деликатно, чем его имя, которое менее деликатно, чем его адрес электронной почты.
- Может ли злонамеренный пользователь скомпрометировать данные, вызвав ошибку? Например, если пользователь вводит адрес электронной почты в форме «Забыли адрес электронной почты», будет ли форма выдавать сообщение, что напоминание о пароле было отправлено на некий е-мейл (и, соответственно, раскрывать данные, что у некоего пользователя есть учетная запись)?
-
4441
-
29
-
Опубликовано 18/04/2018
-
Технологии
Что делать в случае инцидента?
Согласно новому регламенту, в случае инцидента
компания должна уведомить контролирующий орган в течение 72 часов, предоставив
отчет о рисках для физических лиц и о предпринятых мерах по снижению этих
рисков. А также проинформировать субъектов данных, чьи интересы и безопасность
могут быть затронуты.
Практика показывает, что скрывать информацию об
инцидентах не получается. Александр Черкавский приводит в пример историю с Yahoo,
которая была вынуждена в 2017 г. раскрыть информацию об инцидентах с данными в
2013 и 2014 гг. перед слиянием с компанией Verizon. В результате Verizon
купил Yahoo на $350 млн дешевле.
Наложение административных штрафов во многом будет
зависеть от контролирующего органа в каждом отдельном государстве Евросоюза.
Хорошая новость заключается в том, что с ними можно судиться. Другой вопрос,
что обязанность доказывать соответствие лежит на компании-операторе или
обработчике. И без серьезной предварительной подготовки оспорить нарушения
будет сложно.
8 основных прав GDPR
В соответствии с GDPR физические лица имеют:
- Право на доступ. Это означает, что физические лица имеют возможность запрашивать доступ к своим персональным данным и спрашивать, как их данные используются компанией после того, как они были собраны. Компания должна предоставлять копию собранных персональных данных бесплатно и в электронном формате по запросу физического лица.
- Право на удаление. Если потребители больше не являются клиентами или если они отзывают свое согласие у компании на использование своих персональных данных, то они имеют возможность на удаление своих данных.
- Право на перенос данных. Физические лица имеют возможность передавать личные данные от одного поставщика услуг другому. И это должно происходить в широко используемом и машиночитаемом формате.
- Право быть проинформированными. Это распространяется на любой сбор данных компаниями, где частные лица должны быть проинформированы ещё до сбора самих данных. Потребители должны согласиться на сбор своих данных, и согласие оформляется в четком виде.
- Право на исправление информации. Это гарантирует то, что физические лица вправе обновлять личные данные, если они устарели, являются неполными или неверными.
- Право на ограничение обработки. Физические лица вправе потребовать, чтобы их данные не использовались для обработки. Их запись может оставаться в системе, но не использоваться.
- Право на возражение — это включает в себя возможность физических лиц на прекращение обработки их данных для любого рода маркетинга. Из этого правила нет исключений, и любая обработка должна быть прекращена, как только запрос получен.
- Право на получение уведомления. В случае утечки данных, которая ставит под угрозу персональные данные физического лица, последнее имеет право быть проинформированным в течение 72 часов с момента, когда компании впервые стало известно об утечке.
Что такое GDPR?
GDPR предоставляет людям права по управлению персональными данными, собранными организацией. Эти права можно реализовать с помощью запроса субъекта данных (DSR). Организация должна своевременно предоставлять информацию о запросах субъектов данных и нарушениях безопасности данных, а также выполнять оценку влияния на защиту данных (DPIA).
При реализации или оценке требований GDPR следует учитывать несколько моментов:
- Разработка или оценка политики конфиденциальности данных в соответствии с GDPR.
- Оценка безопасности данных в организации.
- Кто является управляющим данными?
- Какие процессы защиты данных может потребоваться выполнить?
Рекомендуемый план действий для GDPR и контрольные списки готовности к подотчетности могут предоставить дополнительные сведения для рассмотрения.
Указанные ниже задачи относятся к выполнению стандартов GDPR. Подробные сведения о реализации см. по ссылкам в списке.
- Запросы субъектов данных (DSR). Официальный запрос от субъекта данных к управляющему, требующий выполнения некоторых действий (изменение, ограничение, доступ) с персональными данными этого субъекта.
- Уведомление о нарушении. Согласно GDPR, нарушение персональных данных является «нарушением безопасности, ведущим к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к передаваемым, сохраняемым или иным образом обрабатываемым персональным данным».
- Оценка влияния на защиту данных (DPIA). Контроллеры данных обязаны в рамках GDPR подготовить DPIA для операций с данными, которые «могут привести к высокому риску для прав и свобод физических лиц».
Как указано выше, рекомендуемый план действий для GDPR и контрольные списки готовности к подотчетности предоставляют руководство по обеспечению или оценке соответствия требованиям GDPR при использовании продуктов и служб Майкрософт.
К кому применяются правила GDPR?
Одним из значительных условий GDPR является то, что теперь запрещена передача данных за пределы ЕС в любую страну, которую ЕС не считает соответствующую законам о защите персональных данных. Если вы передаете личные данные за пределы ЕС для обработки или хранения, то вы должны получить явное согласие на это от пользователя, которому принадлежат данные.
Учитывая многоуровневый характер юрисдикций Интернета и такие технологии, как CDN, разумно предположить, что в определенный момент данные, которые вы собираете и храните, будут передаваться за пределы ЕС и одобренных стран. Поэтому, независимо от того, какие другие разрешения вы запрашиваете у своих пользователей, желательно всегда получать разрешение на хранение данных за пределами ЕС.
Какие данные должны быть защищены?
Существует два основных типа данных, которые по GDPR должны быть защищены: личные и деликатные.
- Личные данные – это любые данные, которые идентифицируют человека. Ваше имя, адрес электронной почты, местоположение, биометрические данные, логин (другие онлайн-идентификаторы) – все это является личными данными.
- Деликатные данные – это то, что, по мнению ЕС, более личное, чем имя. Этническое происхождение, религиозные убеждения, сексуальные предпочтения, политические взгляды, криминальная история – все это можно отнести к деликатным данным. Новые правила призваны уделять больше внимания защите и деликатных данных.
Хотя может возникнуть коллизия в случаях, когда личные данные становятся деликатными. Например, адрес электронной почты – это личные данные, но если адрес электронной почты типа «fanat-trampa-2018@…», из которого можно сделать вывод о политических предпочтениях пользователя, тогда эти данные уже относятся к деликатным. Подобные случаи, скорее всего, будут рассматриваться регулирующими органами в каждом конкретном случае.
GDPR устанавливает условия для данных, которые могут быть собраны из разных источников. Если злоумышленник может использовать данные конкретного человека, которые вы храните, для сопоставления (например, по его IP-адресу) с деликатными данными, хранящимися на другом сайте, тогда вы внесли свой вклад в компрометацию деликатных данных этого пользователя, даже если вы сами не храните эти деликатные данные.
Лучшая тактика здесь заключается в том, чтобы никогда не запрашивать больше данных, чем вам нужно – чем меньше данных вы храните, тем меньше риска их потерять.
Права пользователя по требованиям GDPR
В любой ситуации, когда вы запрашиваете данные пользователя, сначала спросите себя: как это повлияет на права владельца этих данных?
GDPR определяет следующие официальные права, которыми обладают владельцы данных:
- Право быть проинформированным
- Право доступа
- Право на исправления
- Право на объект
- Право на переносимость данных
- Право на удаление данных
- Право не подвергаться автоматическому принятию решений
- Право ограничить обработку данных
Однако игроки, которые хранят данные, также имеют права. Например, представьте, что пользователь подписался на вашу рассылку. Позже он решает, что больше не хочет получать рассылку и отписывается. Вы просто обязаны навсегда стереть адрес электронной почты этого пользователя. Однако, когда пользователь подписывается на рассылку, вы должны знать его IP-адрес, чтобы сопоставить с его согласием получать рассылку (как и должны), значит вы имеете право сохранить эти данные, чтобы продемонстрировать соблюдение своим сайтом правил GDPR.
Что считать ПД по GDPR?
Персональными считаются данные, по которым можно установить личность владельца – пользователя сервиса (хотя бы косвенно): ФИО, домашний адрес, IP-адрес, логин на каком-либо сайте и другие идентификаторы. Сюда же относится информация, касающаяся социальной или культурной принадлежности.
Еще в GDPR выделена особая категория конфиденциальных данных. Она включает религиозные убеждения гражданина, его биометрические показатели, а также медицинские сведения.
Требования к операторам данных
Получать согласие на обработку данных.Обрабатывать персональные данные без согласия их владельца запрещено. При этом нельзя считать согласием молчание или бездействие пользователя. Также оператор должен сообщить, с какой целью используется собираемая информация.
Защищать персональные данные. Компания-обработчик обязана защитить ПД от кражи, повреждения или подмены. Поэтому сведения должны шифроваться, а их распространение – контролироваться.
Назначать сотрудников по защите данных. Они управляют бизнес-процессами, касающимися работы с ПД, и следят за соблюдением требований GDPR
Это особенно важно, если организация проводит масштабные исследования или обрабатывает большие объемы конфиденциальных сведений (например, медицинских записей).
Обеспечивать право на забвение. Обработчик обязан удалить ПД пользователя по запросу, если это требование не идет вразрез с интересами сообщества или другими правами жителей ЕС.
Уведомлять представителей регулятора об утечках данных. Об уязвимости нужно сообщить в течение трех дней с момента обнаружения «бреши».
Нарушения требований директивы GDPR караются крупными штрафами. Они могут достигать 20 миллионов евро или 4% годового оборота организации. Первые иски в суд появились в день начала работы регламента – пользователи обвинили в нарушениях ИТ-гигантов Facebook и Google. Но пока к компаниям санкции не применялись. Регулятор хотел дать организациям адаптироваться к новым реалиям.
Запрос субъекта данных (DSR)
GDPR предоставляет отдельным лицам (или субъектам данных) определенные права в связи с обработкой их персональных данных, включая право исправлять неточные данные, стирать данные или ограничивать их обработку, получать их данные и выполнять запрос на передачу своих данных другому контроллеру. Управляющий отвечает за предоставление своевременного ответа в соответствии с GDPR. Для технических деталей, обратитесь к Запросам Темы Данных.
Вопросы и ответы по DSR
Какие действия потребуются для завершения DSR?
DSR включают шесть действий: обнаружение, доступ, исправление, ограничение, экспорт и удаление.
Каковы ваши источники данных?
Значительная часть данных организации создается в , таких как Excel и Outlook. Данные, относящиеся к DSR, также можно найти в , создаваемой продуктами и службами Майкрософт, а также в .
Какие виды данных нужно искать?
Персональные данные могут быть найдены в данных клиентов, аналитических данных, созданных продуктами и услугами Microsoft, а также в системных журналах.
Как будут искаться личные данные?
Поиск личных данных может варьироваться в зависимости от продуктов и услуг Microsoft. Средства поиска включают и возможность . Администраторы могут получать доступ к , связанным с действиями пользователя.
В каких форматах должны быть доступны личные данные?
«Переносимость данных» GDPR позволяет субъекту данных запрашивать копию личных данных в «структурированном, широко используемом, машиночитаемом формате» и запрашивать, чтобы ваша организация передала эти файлы другому контроллеру данных.
Что требует GDPR и каковы мои обязанности в качестве контролера?
В соответствии с GDPR управляющие должны:
- Предоставьте субъектам данных копию своих персональных данных вместе с объяснением категорий обрабатываемых ими данных, целей такой обработки и категорий третьих лиц, которым могут быть переданы их данные.
- Помогите каждому человеку реализовать свое право исправлять неточные личные данные, удалять данные или ограничивать их обработку, получать свои данные в удобочитаемой форме и, где это применимо, выполнять запрос на передачу своих данных другому контроллеру.
Что требует GDPR и каковы обязанности Microsoft как процессора?
Мы должны реализовать надлежащие технические и организационные меры, чтобы помочь вам отвечать на запросы от субъектов данных, пользующихся вышеописанными правами.
Где можно найти информацию, связанную с GDPR, для локальных серверов?
Вы можете найти ряд статей, посвященных GDPR. Разработанные Microsoft, они предоставляют рекомендуемые подходы для локальной рабочей нагрузки для SharePoint Server, Exchange Server, Project Server, сервера Office Web Apps, Office Online Server и локальных общих файловых ресурсов.
Как Microsoft позволяет вам отвечать на запросы субъектов данных?
Веб-службы предоставляют вам как управляющему множество возможностей для реагирования на запросы субъектов данных. Веб-службы Майкрософт и средства административного контроля помогают вам выполнять действия с персональными данными в соответствии с надлежащими запросами субъектов данных, позволяя обнаруживать, корректировать, ограничивать, удалять и экспортировать персональные данные, хранящиеся в облаке Майкрософт и подконтрольные управляющему, а также получать доступ к таким данным. Онлайн-сервисы также предоставляют данные в машиночитаемой форме, если вам это нужно.
Что нужно знать об общем регулировании защиты данных ЕС (GDPR)
Гайд в разделе Интернет «Что нужно знать об общем регулировании защиты данных ЕС (GDPR)» содержит информацию, советы и подсказки, которые помогут изучить самые важные моменты и тонкости вопроса….
С каждым днем крупные организации, которые существуют главным образом в Интернете, собирают огромные объемы данных от людей, чтобы продать их рекламодателям и другим организациям, которые могут использовать их для удовлетворения своих предложений.
Независимо от того, считаете ли вы это гнусным, ошибочным или просто признаком меняющихся времен, мы все можем согласиться с тем, что феномен сбора данных достиг высот, которых мы не наблюдали ни в одной исторической точке.
Что нужно знать об общем регулировании защиты данных ЕС (GDPR)
Это сделало многим кажется, что они теряют контроль над своей личной информацией, и некоторые правительства начали обсуждать, как им следует вмешаться, чтобы помочь людям восстановить этот контроль. Например, ЕС установил Общее положение о защите данных (GDPR), которое вступает в силу 25 мая 2018 года.
GDPR и бизнес
Изменения в правилах обработки данных вступили в силу в Европейском Союзе 25 мая 2018 года, и многие компании были вынуждены пересмотреть свои методы сбора, использования и хранения информации о своих клиентах и пользователях.
Для некоторых компаний процесс обновления систем, чтобы соответствовать правилам GDPR, может быть сложным. Часто может не хватать инфраструктуры, чтобы выполнить все требования. В этом случае лучше всего обратиться к сторонней компании, такой как консалтинговая фирма или компания по обеспечению безопасности, чтобы помочь в процессе полного соответствия систем.
Права, предоставляемые GDPR
Люди, которые пользуются услугами, входящими в сферу применения GDPR, называются субъектами данных по причинам, которые должны быть очевидны (например, вы являетесь субъектом веб-сайта, который собирает данные о вас). В главе 3 законодательства мы ясно видим все права, которые декларирует документ:
Компания должна дать понять пользователю, что их данные будут собираться и каким образом они будут использоваться. , Это сообщение должно происходить в письменной форме или с помощью других соответствующих средств в электронном виде
Это особенно важно в тех случаях, когда речь идет о несовершеннолетних лицах (статьи 12, 15).
Если сбор данных происходит, пользователь имеет право знать, как связаться с компанией или ее сотрудником по защите данных. Юридически у пользователя должен быть способ связаться с коллектором
Компания, собирающая данные, должна также сделать возможным отозвать согласие в любой момент времени (статья 13, 21).
Даже если сбор данных не происходит, пользователь по-прежнему имеет право на указанную контактную информацию. выше (статья 14).
Пользователь имеет право исправлять любые неточности в данных (статья 16).
Статья 17 дает право быть забытым для GDPR, старая европейская концепция, которая позволяет пользователям запрашивать полное удаление своих данных из базы данных.
Пользователь имеет право попросить веб-сайт больше не обрабатывать свои данные, если они не хотят, чтобы они были полностью стерты. (статья 18).
Что нужно знать об общем регулировании защиты данных ЕС (GDPR)
- Если компания поделилась данными пользователей с другими сторонами, все они должны быть уведомлены о любых удалениях, исправлениях или ограничениях. Пользователь должен иметь право прекратить обработку всех своих данных со всех сторон (статья 19).
- Пользователь имеет право запрашивать свои данные, которые были собраны (статья 20).
- Пользователи имеют право не принимать решения о своем обращении на основе данных, автоматически получаемых от них (статья 22).
Все эти права имеют дополнительные обязательные для исполнения обязательства. на компании, и они могут столкнуться с серьезными последствиями, если они не соблюдают. Степень детализации этого законодательного акта делает его, пожалуй, одним из крупнейших в мире законов о защите конфиденциальности цифровых данных.
GDPR и российские компании
Формально, требования европейской защиты данных носят экстерриториальный характер, и распространяются на все организации, которые работают с персональными данными граждан Евросоюза. Регламент предполагает сразу несколько маркеров, по которым можно определить необходимость для компании соблюдать регламент GDPR.
Однако, в современных реалиях российские компании находятся « в суперпозиции», когда обязательность соблюдения «соседствует» с невозможностью взыскания штрафов со стороны европейских регуляторов. Велика вероятность, что если у российской компании нет представительства или активов за рубежом, то и наложить на нее взыскание службы ЕС просто не смогут.
Однако, стоит помнить о том, что европейские регуляторы « обладают долгой памятью», и пренебрежение законодательством в актуальных условиях может обернуться трудностями для компании в долгосрочных и среднесрочных перспективах, если организация планирует в дальнейшем работать в ЕС и зоне действия европейских законов о персональных данных.
Заключение
Данные — ценная валюта в сегодняшнем мире. И хотя GDPR в самом деле создает проблемы и боль бизнесу, он в том числе создает и возможности.
Компании, которые демонстрируют, что ценят конфиденциальность отдельных лиц (помимо простого соблюдения законодательства), которые прозрачны в отношении того, как используются данные, которые разрабатывают и внедряют новые и усовершенствованные способы управления данными клиентов на протяжении всего времени работы с клиентом, укрепляют доверие и лояльность клиентов.
Также, обратив внимание на огромные штрафы, делаем вывод о том, что любой бизнес, не подстраивающийся под правила GDPR, рискует своим собственным положением